[Résolu] Virus/Trojan OBFUSTAT & GENERIC9

[EnzoDiGabio]

Bonjour,

 

Voici mon problème :

 

Mon PC est infecté de 2 virus trojan qui modifie des DLL dans System32, à savoir 2 fichiers en particulier :

 

1/ DISKCOPY.DLL a été dupliqué avec un DISKCOPYN.DLL => Trojan horse Generic9.AJXG

2/ DINPUT.DLL en DINPUTC.DLL et en DINPUTC.DLL.BAK => Virus Obfustat.ADXW

 

AVG FREE les détectent sans réussir à les éradiquer.

 

Ainsi, dès que j'ouvre une page internet, AVG tente de les supprimer, necessitant un redemarrage du PC, et une fois rédémarré, cela ne régle pas le problème.

 

Le plus ennuyeux avec ces virus, hormis les fenetres de detection qui se lancent à répétition, il y a une modification du fichier TCPIP.SYS qui me dérégle ma carte réseau et du coup je n'ai plus internet dès que je tente de modifier ces fichiers dll qui sont protégés en écriture.

 

J'ai un PC avec Windows XP Pro SP2 avec Zone Alarm en firewall, et AVG free en antivirus à jour.

 

Voici le rapport HIJACKTHIS :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:54:23, on 01/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Labtec\moffice.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Labtec\MOUSE32A.DAT

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\PROGRA~1\Grisoft\AVG Free\avgw.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {80A5305B-512A-4D40-B2B4-77CE514FBD00} - c:\windows\system32\dinputc.dll

O2 - BHO: (no name) - {88DA8020-B9F1-40E3-9097-3B2BDF9B90B7} - C:\WINDOWS\system32\diskcopyn.dll

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Labtec\moffice.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG Free\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O20 - Winlogon Notify: mkcqybpk - C:\WINDOWS\SYSTEM32\dinputc.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 4895 bytes

 

Merci de m'indiquer la procédure à suivre pour les connaisseurs...

Modifié le 4 février 2008 par EnzoDiGabio

[EnzoDiGabio]

J'ai maintenant effectué un scan COMBOFIX.

 

Voici le rapport :

 

ComboFix 08-02.01.5 - Administrateur 2008-02-01 11:38:03.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.710 [GMT 1:00]

Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\WINDOWS\Fonts\acrsecB.fon

C:\WINDOWS\Fonts\acrsecI.fon

C:\WINDOWS\system32\dinputc.dll . . . . Echec de suppression

C:\WINDOWS\system32\dinputc.dll.bak . . . . Echec de suppression

C:\WINDOWS\system32\diskcopyn.dll . . . . Echec de suppression

C:\WINDOWS\system32\dinputc.dll . . . . Echec de suppression

C:\WINDOWS\system32\dinputc.dll.bak . . . . Echec de suppression

C:\WINDOWS\system32\diskcopyn.dll . . . . Echec de suppression

 

----- BITS: Possible sites infect‚s -----

 

hxxp://au.download.windowsupdate.com

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_NZOMCHIO

-------\nm

-------\nzomchio

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-01 to 2008-02-01 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-31 20:36 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-01-31 19:51 . 2006-08-27 14:10 103,424 --a------ C:\grep.exe

2008-01-27 18:48 . 2008-01-28 09:15 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts

2008-01-27 13:14 . 2008-01-27 13:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc

2008-01-27 12:37 . 2008-02-01 09:19 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7

2008-01-20 21:04 . 2008-02-01 11:07 18,210,848 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-20 21:04 . 2008-02-01 11:07 214,484 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-20 21:02 . 2008-01-20 21:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-01-20 21:00 . 2008-02-01 10:52 <REP> d-------- C:\WINDOWS\Internet Logs

2008-01-20 20:52 . 2008-01-20 20:52 <REP> d-------- C:\WINDOWS\report

2008-01-20 20:52 . 2008-01-20 20:52 <REP> d-------- C:\WINDOWS\AU_Backup

2008-01-20 20:52 . 2008-01-20 20:52 35,146,061 --a------ C:\WINDOWS\VPTNFILE.951

2008-01-20 20:52 . 2008-01-20 20:52 35,146,061 --a------ C:\WINDOWS\LPT$VPN.951

2008-01-20 20:52 . 2008-01-20 20:52 1,910,895 --a------ C:\WINDOWS\tsc.ptn

2008-01-20 20:52 . 2008-01-20 20:52 1,163,344 --a------ C:\WINDOWS\vsapi32.dll

2008-01-20 20:52 . 2008-01-20 20:52 267,845 --a------ C:\WINDOWS\tsc.exe

2008-01-20 20:52 . 2008-01-20 20:52 86,094 --a------ C:\WINDOWS\BPMNT.dll

2008-01-20 20:52 . 2008-01-20 20:52 71,749 --a------ C:\WINDOWS\hcextoutput.dll

2008-01-20 20:50 . 2008-01-20 20:50 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7

2008-01-20 20:50 . 2008-01-27 09:58 <REP> d-------- C:\Documents and Settings\Claude\Application Data\AVG7

2008-01-20 20:49 . 2008-01-20 20:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-01-20 20:49 . 2008-01-21 09:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7

2008-01-20 20:36 . 2008-01-20 20:52 <REP> d-------- C:\WINDOWS\AU_Temp

2008-01-20 20:36 . 2008-01-20 20:36 <REP> d-------- C:\WINDOWS\AU_Log

2008-01-20 20:36 . 2008-01-20 20:36 170 --a------ C:\WINDOWS\GetServer.ini

2008-01-20 20:11 . 2008-01-20 20:11 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-01-20 18:51 . 2006-03-16 11:39 167,808 --a------ C:\WINDOWS\system32\drivers\wg111v2.sys

2008-01-20 18:51 . 2008-01-20 18:51 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys

2008-01-20 18:47 . 2008-01-20 18:51 <REP> d-------- C:\Program Files\NETGEAR

2008-01-20 18:47 . 2004-10-04 16:57 929,792 --a------ C:\WINDOWS\system32\AegisE5.dll

2008-01-20 18:47 . 2004-10-04 16:57 379,488 --a------ C:\WINDOWS\system32\drivers\wg111nd5.sys

2008-01-20 18:47 . 2004-10-04 16:57 147,456 --a------ C:\WINDOWS\system32\ssleay32.dll

2008-01-20 18:47 . 2004-04-08 18:18 94,208 --a------ C:\WINDOWS\system32\W32N50.DLL

2008-01-20 18:47 . 2004-04-08 18:18 16,128 --a------ C:\WINDOWS\system32\PCANDIS5.SYS

2008-01-20 18:47 . 2004-10-04 16:57 15,781 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-01-20 18:47 . 2004-10-04 16:57 15,577 --a------ C:\WINDOWS\system32\PCANDIS3.VXD

2008-01-20 18:24 . 2008-01-20 18:24 360,064 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

2008-01-20 16:48 . 2008-01-20 16:48 <REP> d-------- C:\WINDOWS\Alice

2008-01-20 16:48 . 2008-01-20 16:48 <REP> d-------- C:\Program Files\Alice_Triway_WiFi

2008-01-20 16:48 . 2008-01-20 16:48 <REP> d-------- C:\Program Files\Alice Triway Wi-Fi

2008-01-17 21:21 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-01-17 21:21 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-01-17 21:21 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-01-17 21:21 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-01-17 21:21 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-01-17 21:21 . 2008-01-17 22:01 1,938 --a------ C:\WINDOWS\system32\tmp.reg

2008-01-10 23:43 . 2008-01-10 23:43 191,512 --a------ C:\Documents and Settings\Claude\Application Data\install_fr[1].exe

2008-01-05 19:12 . 2008-01-05 19:12 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll

2008-01-05 19:12 . 2008-01-05 19:12 246,545 --a------ C:\WINDOWS\system32\libssl32.dll

2008-01-05 19:11 . 2008-01-05 19:11 741,632 --a------ C:\WINDOWS\system32\eamwklzd.dat

2008-01-01 12:33 . 2008-01-01 12:33 42,240 --a------ C:\WINDOWS\system32\okfpkhrv.dat

2008-01-01 12:33 . 2008-01-15 19:56 36,608 --a------ C:\WINDOWS\system32\iamdsghh.dat

2008-01-01 12:33 . 2008-01-01 12:33 35,072 --a------ C:\WINDOWS\system32\gkpkpxbc.dat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-31 19:15 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS

2008-01-20 19:36 69,689 -c--a-w C:\WINDOWS\UNZIP.DLL

2008-01-20 19:36 507,904 -c--a-w C:\WINDOWS\TMUPDATE.DLL

2008-01-20 19:36 286,720 -c--a-w C:\WINDOWS\PATCH.EXE

2008-01-20 17:57 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-17 20:53 --------- d-----w C:\Program Files\Google

2008-01-17 20:52 --------- d-----w C:\Program Files\Creative

2008-01-17 20:51 --------- d-----w C:\Program Files\BitSpirit

2007-12-29 07:31 19,584 ----a-w C:\WINDOWS\system32\drivers\oeredwfw.dat

2007-12-25 19:54 --------- d-----w C:\Documents and Settings\Claude\Application Data\Creative

2007-12-25 19:51 --------- d-----w C:\Program Files\ArcSoft

2007-12-20 19:30 --------- d-----w C:\Program Files\MSN Messenger

2007-12-20 19:30 --------- d-----w C:\Program Files\Messenger Plus! Live

2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe

2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll

2006-12-09 21:26 40,366 ----a-w C:\Documents and Settings\AliceADSL Photo\unins000.dat

2006-12-09 21:25 690,631 ----a-w C:\Documents and Settings\AliceADSL Photo\unins000.exe

2006-11-27 13:49 3,522,048 ----a-w C:\Documents and Settings\AliceADSL Photo\AliceADSL_Photo.exe

2006-11-27 13:45 1,789,816 ----a-w C:\Documents and Settings\AliceADSL Photo\Resources.zip

2006-09-05 11:39 55,808 ----a-w C:\Documents and Settings\AliceADSL Photo\dd.exe

2006-07-26 14:46 64,000 ----a-w C:\Documents and Settings\AliceADSL Photo\Loader.exe

2005-07-15 12:09 1,645,320 ----a-w C:\Documents and Settings\AliceADSL Photo\gdiplus.dll

2005-06-03 15:47 380,928 ----a-w C:\Documents and Settings\AliceADSL Photo\opd_jp2.exe

2004-11-07 09:11 1,020,928 ----a-w C:\Documents and Settings\AliceADSL Photo\_ISource30.dll

2003-05-27 10:06 684,032 ----a-w C:\Documents and Settings\AliceADSL Photo\libeay32.dll

2003-05-27 10:06 155,648 ----a-w C:\Documents and Settings\AliceADSL Photo\ssleay32.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{80A5305B-512A-4D40-B2B4-77CE514FBD00}]

2008-02-01 11:43 83968 --a------ c:\windows\system32\dinputc.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88DA8020-B9F1-40E3-9097-3B2BDF9B90B7}]

2004-08-10 13:00 84992 --a------ C:\WINDOWS\system32\diskcopyn.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FLMOFFICE4DMOUSE"="C:\Program Files\Labtec\moffice.exe" [2007-03-10 21:24 806912]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe" [2008-01-21 09:25 579072]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-23 16:33 98304]

"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 18:19 15872]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG Free\avgw.exe" [2008-01-21 09:25 219136]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 1000 series.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 1000 series.lnk

backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk

backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NETGEAR WG111v2 Smart Wizard.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NETGEAR WG111v2 Smart Wizard.lnk

backup=C:\WINDOWS\pss\NETGEAR WG111v2 Smart Wizard.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Smart Wizard Wireless Settings.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Smart Wizard Wireless Settings.lnk

backup=C:\WINDOWS\pss\Smart Wizard Wireless Settings.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a--c--- 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative WebCam Tray]

--a------ 2004-07-30 11:04 245760 C:\Program Files\Creative\Shared Files\CAMTRAY.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2006-09-14 21:09 157592 C:\Program Files\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fenaffiche]

--a------ 2004-07-23 09:51 36864 C:\Program Files\FenAffiche\FenUnika.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

--a------ 2003-04-23 00:09 417871 C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]

C:\Program Files\Kazaa\kazaa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

C:\Program Files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-02-23 16:33 98304 C:\Program Files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]

--a------ 2006-02-23 16:12 26112 C:\Program Files\Real\RealPlayer\RealPlay.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]

--a------ 1998-07-24 23:00 37376 C:\Program Files\Microsoft Money\System\reminder.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2004-07-15 01:07 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RestoreIT!]

C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

--a------ 2005-12-09 15:49 15691264 C:\WINDOWS\RTHDCPL.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2005-11-10 13:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

--a------ 2007-03-14 15:52 3770024 C:\Program Files\TomTom HOME\TomTomHOME.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhlCach3.exe]

C:\PROGRA~1\Whale Communications\Client Components\3.1.0\WhlCach3.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]

--------- 2006-11-03 08:59 204288 C:\Program Files\Windows Media Player\WMPNSCFG.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"usnjsvc"=3 (0x3)

"StarWindService"=2 (0x2)

"MDM"=2 (0x2)

"gusvc"=3 (0x3)

"AntiVirScheduler"=2 (0x2)

"AVG Anti-Spyware Guard"=2 (0x2)

"x10nets"=2 (0x2)

"ose"=3 (0x3)

"idsvc"=3 (0x3)

"avast! Web Scanner"=3 (0x3)

"avast! Mail Scanner"=3 (0x3)

"avast! Antivirus"=2 (0x2)

"Ati HotKey Poller"=2 (0x2)

"aswUpdSv"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]

appsecdll REG_EXPAND_SZ C:\WINDOWS\system32\AppCert\wsil32.dll

 

R0 miypweeo;miypweeo;C:\WINDOWS\system32\drivers\oeredwfw.dat []

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-10 13:00]

R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-06-13 11:50]

S3 3xHybrid;Pinnacle PCTV 310i Stereo DVB-T;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-09-02 14:43]

S3 alcan5ln;SpeedTouch USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys [2003-12-08 11:53]

S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-16 11:39]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

S3 V0090VID;Creative WebCam Vista Plus;C:\WINDOWS\system32\DRIVERS\V0090Vid.sys [2004-09-06 02:00]

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-01-30 22:15:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1158354880.job"

- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-01 11:50:31

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-01 11:53:43 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-01 10:53:36

.

2008-01-08 22:44:11 --- E O F ---

[Thanos]

salut

 

Voilà ce que tu vas faire stp >

 

1) Passe par le panneau de configuration > Ajouter/Supprimer des Programmes > désinstalle le programme P2P Networking.

 

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/l7dgc1

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

3) Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer

 

Poste ces deux rapports stp et ne fais aucune autre manip

[EnzoDiGabio]

Voici le rapport COMBO FIX :

 

ComboFix 08-02.01.5 - Administrateur 2008-02-01 16:33:24.2 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.689 [GMT 1:00]

Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE

C:\WINDOWS\system32\AppCert\wsil32.dll

C:\WINDOWS\system32\eamwklzd.dat

C:\WINDOWS\system32\gkpkpxbc.dat

C:\WINDOWS\system32\iamdsghh.dat

C:\WINDOWS\system32\okfpkhrv.dat

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\AppCert\wsil32.dll

C:\WINDOWS\system32\dinputc.dll

C:\WINDOWS\system32\dinputc.dll.bak

C:\WINDOWS\system32\diskcopyn.dll

C:\WINDOWS\system32\eamwklzd.dat

C:\WINDOWS\system32\gkpkpxbc.dat

C:\WINDOWS\system32\iamdsghh.dat

C:\WINDOWS\system32\okfpkhrv.dat

C:\WINDOWS\system32\drivers\oeredwfw.dat . . . . Echec de suppression

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-01 to 2008-02-01 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-01 12:02 . 2008-02-01 12:02 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft

2008-02-01 12:01 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-01-31 20:36 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-01-31 19:51 . 2006-08-27 14:10 103,424 --a------ C:\grep.exe

2008-01-27 18:48 . 2008-01-28 09:15 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts

2008-01-27 13:14 . 2008-01-27 13:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc

2008-01-27 12:37 . 2008-02-01 09:19 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7

2008-01-20 21:04 . 2008-02-01 16:38 18,216,992 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-20 21:04 . 2008-02-01 11:07 214,484 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-20 21:02 . 2008-01-20 21:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-01-20 21:00 . 2008-02-01 10:52 <REP> d-------- C:\WINDOWS\Internet Logs

2008-01-20 20:52 . 2008-01-20 20:52 <REP> d-------- C:\WINDOWS\report

2008-01-20 20:52 . 2008-01-20 20:52 <REP> d-------- C:\WINDOWS\AU_Backup

2008-01-20 20:52 . 2008-01-20 20:52 35,146,061 --a------ C:\WINDOWS\VPTNFILE.951

2008-01-20 20:52 . 2008-01-20 20:52 35,146,061 --a------ C:\WINDOWS\LPT$VPN.951

2008-01-20 20:52 . 2008-01-20 20:52 1,910,895 --a------ C:\WINDOWS\tsc.ptn

2008-01-20 20:52 . 2008-01-20 20:52 1,163,344 --a------ C:\WINDOWS\vsapi32.dll

2008-01-20 20:52 . 2008-01-20 20:52 267,845 --a------ C:\WINDOWS\tsc.exe

2008-01-20 20:52 . 2008-01-20 20:52 86,094 --a------ C:\WINDOWS\BPMNT.dll

2008-01-20 20:52 . 2008-01-20 20:52 71,749 --a------ C:\WINDOWS\hcextoutput.dll

2008-01-20 20:50 . 2008-01-20 20:50 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7

2008-01-20 20:50 . 2008-01-27 09:58 <REP> d-------- C:\Documents and Settings\Claude\Application Data\AVG7

2008-01-20 20:49 . 2008-02-01 12:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-01-20 20:49 . 2008-01-21 09:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7

2008-01-20 20:36 . 2008-01-20 20:52 <REP> d-------- C:\WINDOWS\AU_Temp

2008-01-20 20:36 . 2008-01-20 20:36 <REP> d-------- C:\WINDOWS\AU_Log

2008-01-20 20:36 . 2008-01-20 20:36 170 --a------ C:\WINDOWS\GetServer.ini

2008-01-20 20:11 . 2008-01-20 20:11 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-01-20 18:51 . 2006-03-16 11:39 167,808 --a------ C:\WINDOWS\system32\drivers\wg111v2.sys

2008-01-20 18:51 . 2008-01-20 18:51 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys

2008-01-20 18:47 . 2008-01-20 18:51 <REP> d-------- C:\Program Files\NETGEAR

2008-01-20 18:47 . 2004-10-04 16:57 929,792 --a------ C:\WINDOWS\system32\AegisE5.dll

2008-01-20 18:47 . 2004-10-04 16:57 379,488 --a------ C:\WINDOWS\system32\drivers\wg111nd5.sys

2008-01-20 18:47 . 2004-10-04 16:57 147,456 --a------ C:\WINDOWS\system32\ssleay32.dll

2008-01-20 18:47 . 2004-04-08 18:18 94,208 --a------ C:\WINDOWS\system32\W32N50.DLL

2008-01-20 18:47 . 2004-04-08 18:18 16,128 --a------ C:\WINDOWS\system32\PCANDIS5.SYS

2008-01-20 18:47 . 2004-10-04 16:57 15,781 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-01-20 18:47 . 2004-10-04 16:57 15,577 --a------ C:\WINDOWS\system32\PCANDIS3.VXD

2008-01-20 18:24 . 2008-01-20 18:24 360,064 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

2008-01-20 16:48 . 2008-01-20 16:48 <REP> d-------- C:\WINDOWS\Alice

2008-01-20 16:48 . 2008-01-20 16:48 <REP> d-------- C:\Program Files\Alice_Triway_WiFi

2008-01-20 16:48 . 2008-01-20 16:48 <REP> d-------- C:\Program Files\Alice Triway Wi-Fi

2008-01-17 21:21 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-01-17 21:21 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-01-17 21:21 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-01-17 21:21 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-01-17 21:21 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-01-17 21:21 . 2008-01-17 22:01 1,938 --a------ C:\WINDOWS\system32\tmp.reg

2008-01-10 23:43 . 2008-01-10 23:43 191,512 --a------ C:\Documents and Settings\Claude\Application Data\install_fr[1].exe

2008-01-05 19:12 . 2008-01-05 19:12 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll

2008-01-05 19:12 . 2008-01-05 19:12 246,545 --a------ C:\WINDOWS\system32\libssl32.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-31 19:15 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS

2008-01-20 19:36 69,689 -c--a-w C:\WINDOWS\UNZIP.DLL

2008-01-20 19:36 507,904 -c--a-w C:\WINDOWS\TMUPDATE.DLL

2008-01-20 19:36 286,720 -c--a-w C:\WINDOWS\PATCH.EXE

2008-01-20 17:57 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-17 20:53 --------- d-----w C:\Program Files\Google

2008-01-17 20:52 --------- d-----w C:\Program Files\Creative

2008-01-17 20:51 --------- d-----w C:\Program Files\BitSpirit

2007-12-29 07:31 19,584 ----a-w C:\WINDOWS\system32\drivers\oeredwfw.dat

2007-12-25 19:54 --------- d-----w C:\Documents and Settings\Claude\Application Data\Creative

2007-12-25 19:51 --------- d-----w C:\Program Files\ArcSoft

2007-12-20 19:30 --------- d-----w C:\Program Files\MSN Messenger

2007-12-20 19:30 --------- d-----w C:\Program Files\Messenger Plus! Live

2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe

2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll

2006-12-09 21:26 40,366 ----a-w C:\Documents and Settings\AliceADSL Photo\unins000.dat

2006-12-09 21:25 690,631 ----a-w C:\Documents and Settings\AliceADSL Photo\unins000.exe

2006-11-27 13:49 3,522,048 ----a-w C:\Documents and Settings\AliceADSL Photo\AliceADSL_Photo.exe

2006-11-27 13:45 1,789,816 ----a-w C:\Documents and Settings\AliceADSL Photo\Resources.zip

2006-09-05 11:39 55,808 ----a-w C:\Documents and Settings\AliceADSL Photo\dd.exe

2006-07-26 14:46 64,000 ----a-w C:\Documents and Settings\AliceADSL Photo\Loader.exe

2005-07-15 12:09 1,645,320 ----a-w C:\Documents and Settings\AliceADSL Photo\gdiplus.dll

2005-06-03 15:47 380,928 ----a-w C:\Documents and Settings\AliceADSL Photo\opd_jp2.exe

2004-11-07 09:11 1,020,928 ----a-w C:\Documents and Settings\AliceADSL Photo\_ISource30.dll

2003-05-27 10:06 684,032 ----a-w C:\Documents and Settings\AliceADSL Photo\libeay32.dll

2003-05-27 10:06 155,648 ----a-w C:\Documents and Settings\AliceADSL Photo\ssleay32.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FLMOFFICE4DMOUSE"="C:\Program Files\Labtec\moffice.exe" [2007-03-10 21:24 806912]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe" [2008-01-21 09:25 579072]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-23 16:33 98304]

"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 18:19 15872]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG Free\avgw.exe" [2008-01-21 09:25 219136]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 1000 series.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 1000 series.lnk

backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk

backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NETGEAR WG111v2 Smart Wizard.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NETGEAR WG111v2 Smart Wizard.lnk

backup=C:\WINDOWS\pss\NETGEAR WG111v2 Smart Wizard.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Smart Wizard Wireless Settings.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Smart Wizard Wireless Settings.lnk

backup=C:\WINDOWS\pss\Smart Wizard Wireless Settings.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative WebCam Tray]

--a------ 2004-07-30 11:04 245760 C:\Program Files\Creative\Shared Files\CAMTRAY.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2006-09-14 21:09 157592 C:\Program Files\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fenaffiche]

--a------ 2004-07-23 09:51 36864 C:\Program Files\FenAffiche\FenUnika.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

--a------ 2003-04-23 00:09 417871 C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]

C:\Program Files\Kazaa\kazaa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

C:\Program Files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-02-23 16:33 98304 C:\Program Files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]

--a------ 2006-02-23 16:12 26112 C:\Program Files\Real\RealPlayer\RealPlay.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]

--a------ 1998-07-24 23:00 37376 C:\Program Files\Microsoft Money\System\reminder.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2004-07-15 01:07 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RestoreIT!]

C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

--a------ 2005-12-09 15:49 15691264 C:\WINDOWS\RTHDCPL.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2005-11-10 13:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

--a------ 2007-03-14 15:52 3770024 C:\Program Files\TomTom HOME\TomTomHOME.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhlCach3.exe]

C:\PROGRA~1\Whale Communications\Client Components\3.1.0\WhlCach3.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]

--------- 2006-11-03 08:59 204288 C:\Program Files\Windows Media Player\WMPNSCFG.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"usnjsvc"=3 (0x3)

"StarWindService"=2 (0x2)

"MDM"=2 (0x2)

"gusvc"=3 (0x3)

"AntiVirScheduler"=2 (0x2)

"AVG Anti-Spyware Guard"=2 (0x2)

"x10nets"=2 (0x2)

"ose"=3 (0x3)

"idsvc"=3 (0x3)

"avast! Web Scanner"=3 (0x3)

"avast! Mail Scanner"=3 (0x3)

"avast! Antivirus"=2 (0x2)

"Ati HotKey Poller"=2 (0x2)

"aswUpdSv"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]

appsecdll REG_SZ

 

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-01-30 22:15:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1158354880.job"

- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-01 16:38:38

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\RtlGina2.dll

 

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]

-> C:\Program Files\Unlocker\UnlockerHook.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Labtec\moffice.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Labtec\MOUSE32A.DAT

C:\WINDOWS\system32\cscript.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-01 16:40:13 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-01 15:40:09

ComboFix2.txt 2008-02-01 10:53:43

.

2008-01-08 22:44:11 --- E O F ---

 

Par contre je peux pas faire de scan en ligne car j'ai perdu ma connexion internet a cause du virus qui déregle ma config TCPIP.SYS donc je sais pas comment remettre internet en marche egalement.

 

Merci...

[EnzoDiGabio]

D'après le rapport, apparement les fichiers DLL sont suprimés... Donc j'ai été vérifié et effectivement je ne trouve pas les DLL vérolés, bonne nouvelle!

 

Par contre ma connexion est inactive :

 

En invité de commande :

 

lorsque je fais un NETSH WINSOCK RESET, j'ai cette réponse :

 

"Le démarrage de la fonction d'initialisation IniHelperDll dans IPMONTR.DLL a échoué ; Code Erreur : 10107."

 

Lorsque je ping la livebox : PING 192.168.1.1, j'ai cette réponse :

 

"Impossible d'initialiser l'interface Winsock Sockets ; Code d'erreur 0."

 

Je stagne...

[Thanos]

re!

 

Voici la suite >

 

1) Rend toi sur cette page afin de télécharger le fichier CFScript sur ton bureau > http://www.sendspace.com/file/2wc2gk

pour cela, clique sur le lien en bas de page > Download Link: CFScript

 

2) Redémarre le pc impérativement en mode sans échec.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

3) Le pc a redémarré: passe par Démarrer > Exécuter et tape > cmd

Une fenêtre noire va s'ouvrir > copie/colle ceci > netsh winsock reset puis valide en tapant sur la touche [Entrée]

Redémarre ton pc.

Si tu as récupéré ta connexion, fais le scan en ligne et poste les deux rapports : celui de ComboFix et celui de Kaspersky

Modifié le 1 février 2008 par charles ingals

[EnzoDiGabio]

J'ai fais plus simplement.

 

J'ai copier les fichiers TCPIP.SYS et TCPIP6.SYS depuis le cd windows XP et j'ai écrasé les fichiers de mon répertoire SYSTEM32.

 

Une fois redémarré, la connexion s'est restaurée. Pour le scan en ligne, pas de trojan détecté.

 

Le poste est opérationnel, un grand merci pour ton aide charles ingals.

[Thanos]

salut

 

Ok pour la connexion

 

Par contre poste stp le rapport de ComboFix ( il se trouve ici > C:\ComboFix.txt) parce qu'il y a sur ton pc un malware qui résiste à la suppression et qui est mal détecté par les antivirus: on va voir si ComboFix s'en est occupé!

 

salut pear

Modifié le 4 février 2008 par charles ingals